信息安全风险评估方法.docVIP

从最开始接触风险评估理论到现在，已经有将近5个年头了，从最开始的膜拜捧为必杀技，然后是有一阵子怀疑甚至预弃之不用，到现在重拾之，尊之为做好安全的必备法宝，这么一段起起伏伏的心理历程。对风险的方法在一步步的加深，本文从风险评估工作最突出的问题：如何得到一致的、可比较的、可重复的风险评估结果，来加以分析讨论。 1. 风险评估的现状 风险理论也逐渐被广大信息安全专业人士所熟知，以风险驱动的方法去管理信息安全已经被大部分人所共知和接受，这几年国内等级保护的如火如荼的开展，风险评估工作是水涨船高，加之国内信息安全咨询和服务厂商和机构不遗余力的推动，风险评估实践也在不断的深入。当前的风险评估的方法主要参照两个标准，一个是国际标准《ISO13335信息安全风险管理指南》和国内标准《GB/T 20984-2007信息安全风险评估规范》，其本质上就是以信息资产为对象的定性的风险评估。基本方法是识别并评价组织/企业内部所要关注的信息系统、数据、人员、服务等保护对象，在参照当前流行的国际国内标准如ISO27002,COBIT，信息系统等级保护，识别出这些保护对象面临的威胁以及自身所存在的能被威胁利用的弱点，最后从可能性和影响程度这两个方面来评价信息资产的风险，综合后得到企业所面临的信息安全风险。这是大多数组织在做风险评估时使用的方法。当然也有少数的组织/企业开始在资产风险评估的基础上，在实践中摸索和开发出类似与流程风险评估等方法，补充完善了资产风险评估。 2. 风险评估的突出问题 信息安全领域的风险评估甚至风险管理的方法是借鉴了银行业成熟的风险管理方法，银行业业务风险管理的方法已经发展到相当成熟的地步，并且银行业也有非常丰富的基础数据支撑着风险分析方法的运用。但是，风险评估作为信息安全领域的新生事物，或者说舶来之物，尽管信息安全本身在国内开展也不过是10来年，风险评估作为先进思想也存在着类似“马列主义要与中国的实际国情结合走中国特色社会主义道路”的问题。风险评估的定量评估方法缺少必要的土壤，没有基础的、统计数据做支撑，定量风险评估寸步难移;而定性的风险评估其方法的本质是定性，所谓定性，则意味着估计、大概，不准确，其本质的缺陷给实践带来无穷的问题，重要问题之一就是投资回报问题，由于不能从财务的角度去评价一个/组风险所带来的可能损失，因此，也就没有办法得到投资回报率，尽管这是个问题，但是实践当中，一般大的企业都会有个基本的年度预算，IT/安全占企业年度预算的百分之多少，然后就是反正就这么些钱，按照风险从高到低或者再结合其他比如企业现有管理和技术水平，项目实施的难易度等情况综合考虑得到风险处理优先级，从高到低依次排序，钱到哪花完，风险处理今年就处理到哪。这方法到也比较具有实际价值，操作起来也容易，预算多的企业也不怕钱花不完，预算少的企业也有其对付办法，你领导就给这么些钱，哪些不能处理的风险反正我已经告诉你啦，要是万一出了事情你也怪不得我，没有出事情，等明年有钱了再接着处理。 这也不算难的，最难最突出的是那些不仅仅做个一次风险评估的企业，出问题了，几次风险评估的结果不具有可比性，有时甚至还出现矛盾的地方，比方说，某个部门去年是某个岗位的上一任做的，今年是另一位做的，评估结果不能反映去年到今年做的工作改善了企业所面临的信息安全风险状况，甚至细致到某个风险上;更有甚者，比如上次对于某个重要系统，由于没有必要的操作规程而导致误操作而影响系统安全的风险，采取、规范了操作流程并且培训了相关操作人员等控制措施，按理说这个风险已经是得到必要的控制，风险降低了，但是偏偏评估的结果不降反升了。这个问题，归纳为一句就是：风险评估如何得到一个一致的、可比较的、可重复的评估结果。 3. 对策 针对定性风险评估这个突出问题，在解决这个问题之前，我们先有必要清晰的界定这个问题。有人可能会问，我们企业在风险评估结果中，某项风险为100的风险是不是意味着很大呢？或者问我们企业风险评估结果某项风险值为30的风险是不是比其他企业同类型风险其风险值为100的风险小呢？答案是：都不是。定性风险评估的风险值仅仅是个相对值，其数值本身的大小不具有意义，其值只在整个风险参照体系中才具有相对(高/低)价值。企业与企业之间的安全风险对比，只有在使用同一风险评估方法(包括风险计算方法一致，定性尺度一致)，最好是相同行业并且业务相似的情况下，才具有横向可比性。在同一企业内部，风险评估结果要在不同部门横向比较，在同一部门纵向比较，那么，则也必须在同一风险评估方法(包括风险计算方法一致，定性尺度一致)下才具有可比性。 定性风险评估其实践操作中，主要依靠评估者的个人经验和判断，具有很强的主观特性，那我们的问题就变成了：在同一风险评估方法下，如何尽可能的剔除评估者的主观干扰，使得风险评估的结果更接近与风险的真实状况(